«Кому я потрібен?», «Я не займаюсь нічим важливим», «Я — звичайна журналістка» — ці та інші виправдання доводиться часто чути, коли мова заходить про можливість стати ціллю для злому поштової скриньки або облікового запису на платформах соціальних мереж. Але ці тези не враховують важливої онтологічної категорії Інтернету — вашої цифрової особистості.

Цифрова особистість включає в себе унікальні описові характеристики та поведінку, які дозволяють переконати інших користувачів, що вони належать реальній особистості. До таких описових характеристик належить: Ім’я та прізвище, фотографії та відео, дата народження, місце перебування, історія навчання та роботи, коло комунікації (друзі та фоловери), електронна пошта, номер телефону, псевдоніми.

Якщо я отримую листа з пошти, що належить вам, і вона містить ваше прізвище та ім’я, то я за замовчуванням сприймаю ці дві характеристики як такі, що вказують на вас як реальну особистість. Відповідно, якщо в цьому листі буде вірус, компроментуюча інформація, вимога викупу або погрози, то у мене немає інших способів ідентифікувати вас, окрім як за вашим ім’ям та адресою пошти. Тож якщо хтось отримав доступ до вашої поштової скриньки і розсилає подібні листи, то ці дії будуть приписуватись вам, а не зловмиснику.

Тож неважливо як саме ви себе оцінюєте в реальному житті, ваша цифрова особистість має цінність, бо дозволяє отримувати доступ до можливостей, про які навіть ви можете не здогадуватись. Наприклад, можливість взяти кредит, скомпрометувати ваших ближніх, отримати доступ до внутрішніх ресурсів вашої редакції та інше. Саме тому варто пам’ятати базове правило цифрової безпеки: Ваша цифрова особистість має бути захищена.

Модель захисту вашої цифрової особистості може бути описана через тріаду «AIC» (Availability, Integrity, Confidentiality — Доступність, цілісність, конфіденційність). Ця тріада описує найважливіші цілі будь-яких заходів та програм безпеки. Всі вони підкоряються основній меті інформаційної безпеки яка полягає в захисті даних, а також інформаційних систем від несанкціонованого доступу, знищення, розкриття, порушення, модифікації або використання.

Доступність (Availability) полягає в тому, що інформація, дані та інструменти, які потрібні вам для роботи, доступні авторизованим користувачам у разі потреби. Якщо ви втратили всі свої напрацювання, бо ваш ноутбук згорів, був зашифрований зловмисником, або хтось видалив всю вашу інформацію з ваших пристроїв, то ваша цифрова особистість не захищена. У такому випадку ви маєте подбати про резервне копіювання критичних для вас даних, а також про резервне відновлення доступу до своїх облікових записів.

Цілісність (Integrity) передбачає підтримку узгодженості, точності та надійності даних протягом всього процесу роботи з ними. Ви працюєте з різними платформами соціальних мереж та з різних пристроїв, але до всіх них мають бути застосовані однакові політики безпеки. Якщо ви поставили надійний пароль на ноутбук, але ваш телефон або планшет незахищений, то отримавши доступ до такого пристрою я можу отримати доступ до такого ж обсягу інформації та вашої цифрової особистості, який би у мене був і завдяки доступу до захищеного пристрою. Слабко захищений пристрій у цьому випадку став слабкою ланкою у лінії вашого захисту.

Цілісність також поділяється на цілісність даних та системну цілісність. Цілісність даних передбачає, що коли ви передаєте дані, то вони захищені від несанкціонованого редагування або модифікації. Системна цілісність, у свою чергу, передбачає, що всі ваші пристрою, які мають доступ до характеристик вашої цифрової особистості, не можуть бути скомпроментовані і видозмінені без вашого відома. Інакше інсталяція шпигунської програми на ваш пристрій зробить всю вашу активність доступною для третьої сторони.

Конфіденційність (Confidentiality) є чи не найважливішим елементом цієї тріади. І хоч він близький за значенням до поняття приватності, конфіденційність також включає в себе і захист даних від несанкціонованого доступу, а також від зловмисного використання даних. Заходи, що вживаються для забезпечення конфіденційності, запобігають потраплянню конфіденційних даних не до тих людей, при цьому дозволяючи авторизований доступ. Наприклад, встановлення паролів та шифрування даних є поширеними методами захисту конфіденційності. Але виклики останніх років вимагають комплексного підходу до конфіденційності — одинарних інструментів вже недостатньо.

Зокрема, частиною конфіденційності є і керування вами видимістю інформації про вас. Якщо мова йде про обліковий запис у соціальних мережах, то потрібно перейти у відповідний розділ «Конфіденційність та приватність» і визначити, яка інформація має бути видимою для різних груп користувачів. Наприклад, роки навчання у вузі мають бути видимими тільки для вас, тоді як назва вузу, який ви закінчували, може бути доступною публічно. Те саме стосується і месенджерів. Наприклад, ваш номер телефону має бути доступний тільки вашим контактам, а час активності — непублічний.

Всі три елементи цієї тріади взаємопов’язані і тому їх потрібно розглядати разом у системі захисту. При цьому, не варто сприймати заходи безпеки як тотальну стіну параної. Хоч у параноїків також є вороги, та й те, що у вас паранойя, зовсім не означає, що за вами не слідкують, захист цифрової особистості зовсім не означає відмову від зручності. На поточному рівні розвитку технологій та політик безпеки цілком можливо залишитися захищеним від більшості загроз, не жертвуючи робочими процесами та якістю взаємодії.

Практичні поради

Дослідіть, яка інформація про вас доступна у відкритих джерелах

Перш ніж ви ви будете вибудовувати лінію захисту своєї цифрової особистості, вам потрібно з’ясувати, які її елементи вже доступні через відкриті джерела. Що користувач побачить, коли вводить ваше ім’я, пошту, номер телефону та інші елементи цифрової особистості у загальний пошуковик або на платформах соціальних мереж? Тексти, дописи, фотографії та інше — все це зафіксуйте в окремому документі, щоб ви могли охопити обсяг та глибину доступної інформації. Це також дозволить вам подбати про те, щоб окремі пласти цієї інформації були видалені або приховані, якщо ви виявите, що вона порушує принципи конфіденційності.

Перевірте, як зберігається ваша інформація на ваших пристроях і чи наявні резервні копії критичних даних

На ноутбуці ваша інформація зберігається в трьох місцях: на робочому столі, у теці «Мої документи» та у теці «Завантаження». В окремих випадках вона може знаходитись на іншому розділі диску (наприклад, диск D). Перевірте чи створюються резервні копії важливої для вас інформації з цих місць.

Також варто перевірити хмарні сховища (Гугл Диск, Дропбокс, АйКлауд та інші), бо в них може знаходитись конфіденційна інформація з неправильними дозволами. Те ж стосується і файлів, які ви передаєте через різні комунікаційні канали: важливо перевірити поштові вкладення, а також все, що пересилається через месенджери. За потреби цю інформацію потрібно видалити або зашифрувати.

При створенні резервних копій своїх даних можете обрати створення зашифрованих копій у хмарні сховища — це дозволить вам швидко відновити потрібну інформацію, але, одночасно, захистить її від сторонніх осіб, включно з провайдером хмарного сховища.

Перевірте резервні канали відновлення доступу до основних облікових записів

Важливо мати запасні канали відновлення доступу до ваших облікових записів на той випадок, якщо основний канал буде скомпроментовано. Перевірте, чи прив’язаний ваш обліковий запис до іншої вашої електронної пошти, номеру телефону і які способи відновлення вам доступні. Наприклад, окремі сервіси надають можливість відновлювати доступ через відповіді на таємні питання, або через надсилання СМС-коду. Знання цих каналів відновлення доступу дозволить вам швидко орієнтуватися в критичній ситуації, а також оцінити ваш поточний рівень захисту. 

Найголовніше, що треба запам’ятати

• Ваша цифрова особистість має бути захищена
• Дбаючи про безпеку, пам’ятайте про те, що її основне завдання це досягнення тріади «АІС»
• З’ясуйте, яка інформація про вашу цифрову особистість доступна і наскільки вона критична
• Переконайтесь, що критична для вас інформація має резервні копії
• Перевірте резервні шляхи відновлення доступу до основних облікових записів і переконайтесь в тому, що вони вам комфортні

Література та корисні джерела

• The GCA Cybersecurity Toolkit for Journalists https://gcatoolkit.org/journalists/
• Digital Safety Kit https://cpj.org/2019/07/digital-safety-kit-journalists/
• Лабораторія цифрової безпеки https://dslua.org/

Словник

Тріада AIC (іноді CIA) — є загальноприйнятою моделлю, яка формує основу для розробки систем безпеки та політики. Вони використовуються для виявлення вразливостей, методів вирішення проблем і створення ефективних рішень.

Доступність (Availability) — елемент моделі AIC, який полягає в тому, що інформація, дані та інструменти, які потрібні для роботи, доступні авторизованим користувачам у разі потреби.

Цілісність (Integrity) — елемент моделі AIC, який передбачає підтримку узгодженості, точності та надійності даних протягом всього процесу роботи з ними.

Конфіденційність (Confidentiality) — елемент моделі AIC, який передбачає, що робочі дані захищені від несанкціонованого доступу, а також від зловмисного використання.